Définition de l’audit informatique – Un audit informatique peut être défini comme tout audit qui englobe l’examen et l’évaluation des systèmes automatisés de traitement de l’information, des processus non automatisés connexes et des interfaces entre eux. La planification de l’audit informatique comporte deux étapes majeures. La première étape consiste à recueillir des informations et à planifier un peu la deuxième étape consiste à mieux comprendre la structure de contrôle interne existante. De plus en plus d’organisations adoptent une approche d’audit basée sur les risques qui est utilisée pour évaluer les risques et aide un auditeur informatique à prendre la décision d’effectuer des tests de conformité ou des tests de fond. Dans une approche basée sur le risque, les auditeurs informatiques s’appuient sur des contrôles internes et opérationnels ainsi que sur les connaissances de l’entreprise ou de l’entreprise. Ce type de décision d’évaluation des risques peut aider à relier l’analyse coûts-avantages du contrôle au risque connu. Dans l’étape « Collecte d’informations”, l’auditeur informatique doit identifier cinq éléments:
- Connaissance des entreprises et de l’industrie
- Résultats de l’audit de l’exercice précédent
- Informations financières récentes
- Lois réglementaires
- Évaluations des risques inhérents
Une note secondaire sur les » risques inhérents ” consiste à définir le risque qu’une erreur existe qui pourrait être importante ou importante lorsqu’elle est combinée à d’autres erreurs rencontrées au cours de l’audit, en supposant qu’il n’existe aucun contrôle compensateur connexe. Par exemple, les mises à jour de bases de données complexes sont plus susceptibles d’être mal écrites que les simples, et les clés USB sont plus susceptibles d’être volées (détournées) que les serveurs lames dans une armoire serveur. Les risques inhérents existent indépendamment de l’audit et peuvent survenir en raison de la nature de l’entreprise.
Dans l’étape « Acquérir une compréhension de la Structure de contrôle interne existante », l’auditeur informatique doit identifier cinq autres domaines / éléments:
- Environnement de contrôle
- Procédures de contrôle
- Évaluation des risques de détection
- Évaluation des risques de contrôle
- Assimiler le risque total
Une fois que l’auditeur informatique a « Recueilli des informations” et « Comprend le Contrôle”, il est prêt à commencer la planification ou la sélection des zones à auditer. Rappelez-vous que l’une des informations clés dont vous aurez besoin au cours des étapes initiales est une analyse d’impact commercial (BIA) actuelle, pour vous aider à sélectionner l’application qui prend en charge les fonctions métier les plus critiques ou sensibles.
Objectifs d’une vérification de la TI
Le plus souvent, les objectifs de la vérification de la TI se concentrent sur la preuve que les contrôles internes existent et fonctionnent comme prévu afin de minimiser les risques opérationnels. Ces objectifs d’audit comprennent l’assurance de la conformité aux exigences légales et réglementaires, ainsi que la confidentialité, l’intégrité et la disponibilité (CIA – non pas l’agence fédérale, mais la sécurité de l’information) des systèmes d’information et des données.
Stratégies d’audit des TI
Il y a deux domaines à aborder ici, le premier est de savoir s’il faut effectuer des tests de conformité ou des tests de fond et le second est « Comment puis-je obtenir les preuves pour me permettre d’auditer l’application et de faire mon rapport à la direction? » Alors, quelle est la différence entre la conformité et les tests de fond? Les tests de conformité recueillent des preuves pour vérifier si une organisation suit ses procédures de contrôle. D’autre part, les tests de fond recueillent des preuves pour évaluer l’intégrité des données individuelles et d’autres informations. Par exemple, les tests de conformité des contrôles peuvent être décrits avec l’exemple suivant. Une organisation a une procédure de contrôle qui stipule que toutes les modifications apportées aux applications doivent passer par le contrôle des modifications. En tant qu’auditeur informatique, vous pouvez prendre la configuration en cours d’exécution d’un routeur ainsi qu’une copie de la génération -1 du fichier de configuration pour le même routeur, exécuter un fichier compare pour voir quelles étaient les différences ; puis prendre ces différences et rechercher la documentation de contrôle des modifications. Ne soyez pas surpris de constater que les administrateurs réseau, lorsqu’ils ne font que re-séquencer les règles, oublient de passer le changement par le contrôle des modifications. Pour les tests de fond, disons qu’une organisation a une politique / procédure concernant les bandes de sauvegarde à l’emplacement de stockage hors site qui comprend 3 générations (grand-père, père, fils). Un auditeur INFORMATIQUE ferait un inventaire physique des bandes à l’emplacement de stockage hors site et comparerait cet inventaire à l’inventaire des organisations, tout en cherchant à s’assurer que les 3 générations étaient présentes.
Le deuxième domaine porte sur « Comment puis-je obtenir les preuves pour me permettre d’auditer la demande et de faire mon rapport à la direction? »Il ne devrait pas être surprenant que vous ayez besoin de:
- Examinez la structure organisationnelle de la TI
- Examinez les politiques et procédures de la TI
- Examinez les normes de la TI
- Examinez la documentation de la TI
- Examinez la LFI de l’organisation
- Interviewez le personnel approprié
- Observez les processus et le rendement des employés
- Examen, qui intègre par nécessité la mise à l’essai des contrôles et inclut donc les résultats des tests.
En tant que commentaire supplémentaire de la collecte de preuves, l’observation de ce qu’un individu fait réellement par rapport à ce qu’il est censé faire peut fournir à l’auditeur informatique des preuves précieuses lorsqu’il s’agit de contrôler la mise en œuvre et la compréhension par l’utilisateur. Effectuer également une visite guidée peut donner un aperçu précieux de la façon dont une fonction particulière est exécutée.
Application par rapport aux contrôles généraux
Les contrôles généraux s’appliquent à tous les secteurs de l’organisation, y compris l’infrastructure informatique et les services de soutien. Voici quelques exemples de contrôles généraux ::
- Contrôles comptables internes
- Contrôles opérationnels
- Contrôles administratifs
- Politiques et procédures de sécurité organisationnelles
- Politiques générales pour la conception et l’utilisation de documents et d’enregistrements adéquats
- Procédures et pratiques pour assurer des garanties adéquates sur l’accès
- Politiques de sécurité physiques et logiques pour tous les centres de données et les ressources informatiques
Les contrôles d’application se réfèrent aux transactions et aux données relatives à chaque système d’application informatique; par conséquent , ils sont spécifiques à chaque application. Les contrôles des candidatures ont pour objectif d’assurer l’exhaustivité et l’exactitude des enregistrements et la validité des entrées qui leur sont faites. Les contrôles d’application sont des contrôles sur les fonctions IPO (entrée, traitement, sortie) et comprennent des méthodes pour garantir que:
- Seules des données complètes, exactes et valides sont saisies et mises à jour dans un système d’application
- Le traitement accomplit la tâche conçue et correcte
- Les résultats du traitement répondent aux attentes
- Les données sont conservées
En tant qu’auditeur informatique, vos tâches lors d’un audit de contrôle d’application doivent inclure :
- Identifier les composants importants de l’application ; le flux de transactions via l’application (système); et pour acquérir une compréhension détaillée de l’application en examinant toute la documentation disponible et en interrogeant le personnel approprié, tel que le propriétaire du système, le propriétaire des données, le dépositaire des données et l’administrateur du système.
- Identifier les forces du contrôle de l’application et évaluer l’impact, le cas échéant, des faiblesses que vous trouvez dans les contrôles de l’application
- Élaborer une stratégie de test
- Tester les contrôles pour s’assurer de leur fonctionnalité et de leur efficacité
- Évaluer les résultats de vos tests et toute autre preuve d’audit pour déterminer si les objectifs du contrôle ont été atteints
- Évaluer l’application par rapport aux objectifs de la direction pour assurer l’efficience et l’efficacité du système.
Examens du contrôle de l’audit informatique
Après avoir rassemblé toutes les preuves, l’auditeur INFORMATIQUE les examinera pour déterminer si les opérations auditées sont bien contrôlées et efficaces. Maintenant, c’est là que votre jugement subjectif et votre expérience entrent en jeu. Par exemple, vous pourriez trouver une faiblesse dans une zone qui est compensée par un contrôle très fort dans une autre zone adjacente. Il est de votre responsabilité, en tant qu’auditeur informatique, de rendre compte de ces deux constatations dans votre rapport d’audit.
Le livrable de l’audit
Alors, qu’est-ce qui est inclus dans la documentation de l’audit et que doit faire l’auditeur informatique une fois son audit terminé. Voici la liste de ce qui devrait être inclus dans votre documentation d’audit:
- Planification et préparation de la portée et des objectifs de l’audit
- Description et/ou procédures pas à pas sur le domaine d’audit défini
- Programme d’audit
- Étapes de l’audit effectuées et éléments probants recueillis
- Si les services d’autres auditeurs et experts ont été utilisés et leurs contributions
- Constatations, conclusions et recommandations de l’audit
- Documentation de l’audit relation avec l’identification et les dates des documents (votre renvoi des éléments probants à l’étape de l’audit)
- Une copie du rapport publié à la suite des travaux d’audit
- Preuve de la surveillance de l’audit examen
Lorsque vous communiquez les résultats de l’audit à l’organisation, cela se fait généralement lors d’une entrevue de sortie où vous aurez l’occasion de discuter avec la direction des constatations et des recommandations. Vous devez être absolument certain de:
- Les faits présentés dans le rapport sont corrects
- Les recommandations sont réalistes et rentables, ou des alternatives ont été négociées avec la direction de l’organisation
- Les dates de mise en œuvre recommandées seront convenues pour les recommandations que vous avez dans votre rapport.
Votre présentation lors de cet entretien de sortie comprendra un résumé de haut niveau (comme le dit le sergent Friday, juste les faits s’il vous plait, juste les faits). Et pour une raison quelconque, une image vaut mille mots, alors faites des diapositives PowerPoint ou des graphiques dans votre rapport.
Votre rapport d’audit doit être structuré de manière à inclure:
- Une introduction (résumé)
- Les constatations se trouvent dans une section distincte et regroupées par destinataire prévu
- Votre conclusion et votre opinion générales sur la pertinence des contrôles examinés et les risques potentiels identifiés
- Toutes réserves ou réserves à l’égard de la vérification
- Constatations et recommandations détaillées
Enfin, il y a quelques autres considérations dont vous devez être conscient lors de la préparation et de la présentation de votre rapport final. Qui est le public? Si le rapport est transmis au comité d’audit, il se peut qu’il n’ait pas besoin de voir la minutie qui entre dans le rapport de l’unité commerciale locale. Vous devrez identifier les critères organisationnels, professionnels et gouvernementaux appliqués tels que GAO-Yellow Book, CobiT ou NIST SP 800-53. Votre rapport devra être en temps opportun afin d’encourager des mesures correctives rapides.